OpenStack keystone 授权的问题

Question

突然发现一个问题

在搭建 openstack 的时候，keystone bootstrap 命令时，会创建第一个域 default，第一个项目 admin，第一个用户admin，第一个角色 admin，并且将 admin角色（role) assignment 给default 域下的项目 admin 。所以 admin 用户为管理员用户

问题如下

域 ：default
项目：admin service
角色：admin
用户：admin user1 (user1为后面创建的）

创建流程如下

admin 用户使用

1. admin 创建 user1，授权访问 default 域

2. 使用 user1 登陆，发现不能管理项目

   这时候打算使用 user1 给自己授权访问 admin 项目，发现报错，继续使用 admin 用户
   

3. 使用 admin 用户授权 user1 访问 admin 项目

4. 登陆后发现可以访问 admin 项目

然后这个时候，使用 user1 自己授权自己访问 service 项目，发现可以授权了，什么鬼，。。。。！！》？？

然后，自己将自己的项目授权取消掉，发现不能授权了。。。。！！？？？

多试了几次，如果需要一个用户具有管理员权限，仅仅将具有管理员权限的 admin 角色与域和用户关联，只能够使用该用户登陆。如果需要其它访问操作，则必须将其与一个项目关联，。。。。这是为啥，项目属于域，直接指定域，不是应该能够访问域中的所有项目嘛？？？

或者是我的操作不对？？

然后 openstack 使用的是最新版本的 ocata 版本，identity v3 。

授权使用的是 openstack-client ，通过设置用户的环境变量，用户名和密码，域，使用 openstack role add or openstack role remove 命令